Morele.net musi zapłacić 3 miliony złotych kary za wyciek danych

Bezpieczeństwo w sieci powinno być dla firm kwestią priorytetową niezależnie od tego co robimy - czy to kupujemy przez internet, czy po prostu wypowiadamy się na forach internetowych. Niestety w ostatnich latach aktywność hakerów istotnie wzrosła, przez co co chwilę dowiadujemy się o różnych wyciekach danych klientów, czy to sklepów internetowych czy też dużych korporacji pokroju Microsoftu, Facebooka, inPostu czy platformy gier EA - Origin. Pod koniec ubiegłego roku szerokim echem (o którym mówiło się jeszcze przez następne kilka miesięcy) obiła się informacja o bardzo dużym wycieku danych ponad dwóch milionów klientów sklepu morele.net. Sprawa znalazła finał w Urzędzie Ochrony Danych Osobowych, który nałożył na sklep rekordowo wysoką karę pieniężną.

Urząd Ochrony Danych Osobowych nałożył na sklep morele.net rekordowo wysoką karę w wysokości blisko 3 milionów złotych za wyciek danych klientów, który miał miejsce w ubiegłym roku.

O decyzji UODO poinformował portal Puls Biznesu, gdzie podano do oficjalnej wiadomości, że nałożona kara na sklep morele.net sięga bagatela 2,8 milionów złotych. Jest to rekordowo wysoka suma, przynajmniej jeśli chodzi o kwestię wycieków danych w Polsce. Nie bez powodu kara jest rekordowo wysoka, w końcu cała sprawa dotyczy ogromnego wycieku sięgającego 2,2 milionów klientów sklepu morele.net. Do rzeczonego wycieku doszło w nocy 18 grudnia, po czym w bardzo szybkim tempie morele.net wysyłało do klientów informacje drogą mailową z informacją o nieautoryzowanym dostępie do danych klientów sklepu.

Warto jednak dodać, że pomimo oficjalnej decyzji UODO o wysokości kary, sklep nie ma obowiązku natychmiastowej jej zapłaty. Mimo wszystko w rozmowie z Pulsem Biznesu, Radosław Stasiak - wiceprezes ds. IT w morele.net stwierdził, iż "firma nie zgadza się z oceną zebranego materiału dowodowego i odwoła się od decyzji". Sprawa w dalszym ciągu ma więc trafić do Sądu Administracyjnego, gdzie sklep będzie się odwoływał od rzeczonej decyzji UODO. Ponadto na stronie sklepu znalazło się już oficjalne oświadczenie, w którym wyjaśniają dlaczego nie zgadzają się z decyzją Urzędu Ochrony Danych Osobowych:

Drodzy Klienci,

kiedy w 2018 roku padliśmy ofiarą cyberprzestępcy, który w nieuprawniony sposób uzyskał dostęp do bazy danych Klientów sklepu morele.net, niezwłocznie zaangażowaliśmy strategiczne zasoby firmy we współpracę z odpowiednimi służbami. Incydent został zgłoszony na Policję oraz zgodnie z wytycznymi ustawodawcy przekazany do Urzędu Ochrony Danych Osobowych.

Jak zostało przedstawione w decyzji, w toku zaistniałych wydarzeń spółka morele.net reagowała bez zbędnej zwłoki, zarówno pod kątem informacyjnym, prawnym oraz w zakresie wprowadzanych środków technicznych. Od samego początku podjęta została współpraca z Policją oraz Urzędem Ochrony Danych Osobowych. W momencie potwierdzenia ryzyka, że nieuprawniony dostęp mógł dotyczyć nie tylko osób, do których został wysłany SMS ale także całej bazy - poinformowano o tym fakcie wszystkich Klientów. Obok informacji zamieszczonej na stronie internetowej morele.net, przygotowany został dedykowany mailing do całej bazy Klientów, a także uruchomiono dodatkowe kanały i zwiększono zasoby do Obsługi Klientów w wymiarze 24/7. W ramach wdrożonej komunikacji przygotowany został także szereg rekomendacji i sugerowanych działań dla Klientów, których implementacja pozwalałaby na zminimalizowanie ewentualnych, negatywnych skutków nieuprawnionego dostępu.

Podjęliśmy szereg działań systemowych i procesowych pozwalających na wzmocnienie i poprawę zabezpieczeń naszej infrastruktury. Bezpieczeństwo stało się nr 1 w każdym aspekcie funkcjonowania firmy – od rozwiązań technologicznych, poprzez obsługę Klienta aż po marketing. Dział Bezpieczeństwa w IT został wzmocniony osobowo i kompetencyjnie oraz otrzymał rozszerzone prerogatywy. Część zmian, które możemy wymienić, to: dwustopniowa weryfikacja przy zmianie adresu e-mail i numeru telefonu przypisanych do konta użytkownika, zmiana sposobu hashowania oraz hashowanie większego zbioru danych, rozbudowa monitoringu systemów wewnętrznych czy dodatkowa weryfikacja antybotowa a także umożliwienie zakupów bez rejestracji. We współpracy z zewnętrznymi specjalistami ds. bezpieczeństwa od dziewięciu miesięcy realizujemy szereg audytów, testów penetracyjnych oraz projektów zwiększających poziom zabezpieczeń. W listopadzie uruchomimy również program Bug Bounty, będący kolejnym elementem architektury bezpieczeństwa. O naszych działaniach, planach i postępach w pracach na bieżąco informujemy Klientów https://www.morele.net/wiadomosc/zakupy-bez-rejestracji-juz-mozliwe/15629/

W naszej opinii ocena Urzędu o jedynie częściowym zapewnieniu odpowiednich środków zabezpieczenia technicznego przetwarzania danych oraz naruszeniu zasad przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych powinna zostać zweryfikowana przez niezależnych biegłych. Środki stosowane przez spółkę, m. in. zabezpieczenia dostępu oraz monitoring dostępu do panelu zarządzającego w naszej ocenie nie odbiegały od standardów, a w wielu obszarach je przewyższały. Wskazanie na niedopełnienie obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych wskazuje na jedno konkretne rozwiązanie, pomijając inne środki bezpieczeństwa oraz procesy obowiązujące w spółce. Poziom bezpieczeństwa systemów informatycznych powinien być analizowany jako całość. Z tego też powodu będziemy korzystać z dostępnych nam dróg odwoławczych. Egzekucja kary jest wstrzymana do momentu rozstrzygnięcia przez Sąd Administracyjny a spółka była przygotowana na ewentualność otrzymania kary i ma zapewnione rezerwy na ten cel. Kara w żadnym stopniu nie wpłynie na działalność operacyjną naszej firmy.

Wierzymy, że ostatnie wydarzenia oraz ich medialność pozwolą na zwiększenie świadomości bezpieczeństwa w sieci, a wprowadzone przez nas działania i rozwiązania pozwolą innym minimalizować tego typu ataki oraz ich negatywne konsekwencje. Naszą intencją jest nadanie odpowiedniej wagi problemowi i wsparcie inicjatyw mających na celu poprawę bezpieczeństwa w internecie.